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Description 

Arriere-plan de Hnvention 

5 [0001] L'invention concerne un procede de classification automatique d'un ensemble d'alertes issues de sondes de 
detection d'intrusions. 

[0002] La securite des systemes d'information passe par ledeploiementde systemes de detection d'intrusions « IDS » 
comportant des sondes de detection d'intrusions qui emettent des alertes vers des systemes de gestion d'alertes. 
[0003] En effet, les sondes de detection d'intrusions sont des composants actifs du systeme de detection d'intrusions 
10 qui analysent une ou plusieurs sources de donnees a la recherche d'evenements caracteristiques d'une activite intrusive 
et emettent des alertes vers les systemes de gestion d'alertes. Un systeme de gestion des alertes centralise les alertes 
provenant des sondes et effectue eventuellement une analyse de I'ensemble de ces alertes. 

[0004] Les sondes de detection d'intrusions generent un tres grand nombre d'alertes qui peut comprendre plusieurs 

milliers par jour en fonction des configurations et de I'environnement. 
15 [0005] L'exces d'alertes peut resulter d'une combinaison de plusieurs phenomenes. Tout d'abord, des fausses alertes 

represented jusqu'a 90% du nombre total d'alertes. Ensuite, les alertes sont souvent trop granulaires, c'est-a-dire que 

leur contenu semantique est tres pauvre. Enfin les alertes sont souvent redondantes et recurrentes. 

[0006] Le traitement amont des alertes au niveau du systeme de gestion est done necessaire pour faciliter le travail 

d'analyse d'un operateur de securite. Ce traitement consiste a correler les alertes, e'est a dire a reduire la quantite 
20 globale des alertes, tout en ameliorant leur semantique. Ceci peut etre fait par une classification non supervisee des 

alertes. 

[0007] L'objectif de la classification non supervisee est de decouper I'espace des alertes en plusieurs classes en 
tenant compte des variables qui les caracterisent. 

[0008] Dans le present domaine d'application, les alertes qui font I'objet de la classification sont decrites par des 
25 variables essentiellement qualitatives et structures. 

[0009] Les variables qualitatives et structurees sont des variables appartenant a des domaines discrets dont chacun 
est muni d'un ordre partiel. 

[001 0] Les methodes de classification des variables qualitatives structurees sont dites des classifications conceptuel- 
les. 

30 [0011] Une methode de classification conceptuelle est proposee par R.S. MichalskyetR.E. Stepp, dans une publication 
intitulee "Learning from Observation: Conceptual Clustering", dans le journal "In Machine Learning: An, Artificial Intel- 
ligence Approach", publie en 1993. 

[0012] Cette methode construit de maniere descendante une hierarchie conceptuelle a partir d'un ensemble de don- 
nees, en determinant une partition d'un ensemble complet de donnees en plusieurs classes disjointes. 
35 [0013] L'approche utilisee dans cette methode de Michalsky est done inadaptee a la classification des alertes, puis- 
qu'elle partitionne I'ensemble des donnees et est incapable d'integrer une nouvelle donnee sans avoir a etre reinitialises. 
[0014] En effet, les bases de donnees des alertes sont fortement dynamiques car il peut y avoir plusieurs nouvelles 
alertes par seconde. 

[0015] Une autre methode de classification conceptuelle est proposee par D.H. Fisher, dans une publication d'une 
40 these de doctorat, intitulee "Knowledge Acquisition via Incremental Conceptual Clustering", au «Department of Infor- 
mation and Computer Science, University of California », publiee en 1987. 

[001 6] La methode de Fisher est une classification conceptuelle incremental, qui ne necessite pas une connaissance 
prealable du nombre de classes souhaitees. En revanche, cette methode est utilisee pour des variables nominales. 
[0017] D'autres methodes derivees de la methode de Fisher prennent en charge des donnees structurees. La structure 
45 de la hierarchie obtenue par ces methodes est fortement dependante de I'ordre d'insertion des donnees. De plus, 
l'approche de Fisher produit une partition de I'ensemble des donnees. 

[0018] Par ailleurs, Manganaris et af, dans une publication au « 2nd International Workshop on Recent Advances in 
Intrusion Detection 1 999», intitulee "A Data Mining Analysis of RTID Alarms", proposent de modeliser un comportement 
tolere d'un systeme d'information a I'aide des alertes fournies par les outils de detection d'intrusions. L'utilisation des 
50 systemes de detection d'intrusions « IDS » en milieu operationnel montre en effet que les alertes les moins frequentes 
sont generalement les plus suspectes. 

[0019] Selon ce modele, les alertes recurrentes sont considerees comme etant soit des fausses alertes dues au 
comportement normal d'entites du systeme d'information, mais qui semble intrusif du point de vue des systemes IDS, 
soit des defaillances des entites. 
55 [0020] Une autre methode de classification d'alertes est proposee par K. Julisch, dans une publication de 
« Proceedings of the 17th ACSAC » en 2001 , intitulee "Mining Alarm Clusters to Improve Alarm Handling Efficiency". 
Cette methode propose une generalisation des alertes pour mettre en evidence des groupes d'alertes plus pertinents 
que chaque alerte prise individuellement. 
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[0021] La methode utilisee par Julisch est une modification d'une autre methode connue proposee par Han et al, 
publiee dans « Advances in Knowledge Discovery and Data Mining, AAAI Press » en 1996 sous le titre "Exploration of 
the Power of Attribute-Oriented Induction in Data-Mining". /Mit Press, 1996. 

[0022] Sommairement, la methode utilisee par Han consiste a generaliser des variables structurees. Le domaine de 
5 chaque variable possede un ordre partiel represents par une hierarchie arborescente, dont le niveau d'abstraction ou 
generalisation va croissant des feuilles au sommet de la hierarchie. 

[0023] La methode de Hall est iterative. Chaque iteration consiste a choisir un attribut et a generaliser la valeur de 
I'attribut de chaque individu, en fonction de la hierarchie qui lui est associee. Les variables qui deviennent egales, suite 
a une generalisation, sont fusionnees. Le nombre global de variables decroit done a chaque iteration. Le processus 

10 s'arrete lorsque le nombre de variables devient inferieur a un seuil donne. 

[0024] Ce critere d'arret n'est pas satisfaisant car on ne peut pas savoir a priori combien de groupes d'alertes il est 
souhaitable de presenter a I'operateur de securite. De plus, les alertes generalisees obtenues risquent d'etre sur- 
generalisees et leur interet limite. La difficulty de I'approche consiste done a trouver un bon compromis entre une 
reduction importante du nombre d'alertes et le maintien de leur pertinence. 

15 [0025] Alors, la modification apportee par Julisch consiste a retirer de I'ensemble d'alertes soumises au processus 
de generalisation toute alerte generalisee dont le nombre d'instances d'alertes sous-jacentes depasse un seuil donne. 
[0026] Afin d'eviter le phenomene de sur-generalisation, la generalisation effectuee sur les alertes generalisees res- 
tantes est annulee, et le processus est reitere avec un autre attribut. 

[0027] L'inconvenient de cette methode est qu'elle ne permet pas d'identifier des generalisations pertinentes qui 
20 auraient pu se presenter si les alertes fournies a I'operateur de securite avaient ete conservees pour les generalisations 
suivantes. De plus, la nature des alertes generalisees obtenues depend de I'ordre des attributs qui est base sur des 
heuristiques. 

[0028] Enfin, la methode de Julisch n'est pas incrementale et le processus de generalisation doit etre reinitialise a 
chaque requete de I'operateur de securite. 
25 [0029] Le document EP-A-0985995 (IBM), 15 MARS 2000, divulgue le preambule de la revendication 1 . 

Objet et resume de I'invention 

[0030] L'invention a pour but de remedier a ces inconvenients, et de fournir une methode simple de classification non 
30 supervisee des alertes issues de sondes de detection d'intrusions pour engendrer des alertes synthetiques les plus 
generales et les plus pertinentes presentant une vision globale de I'ensemble des alertes et de fagon entierement 
automatique. 

[0031] Ces buts sont atteints grace a un procede de classification automatique d'un ensemble d'alertes issues de 
sondes de detection d'intrusions d'un systeme de securite d'information pour produire des alertes synthetiques, chaque 
35 alerte etant definie par une pluralite d'attributs qualitatifs appartenant a une pluralite de domaines d'attributs dont chacun 
est muni d'une relation d'ordre partiel, caracterise en ce qu'il comporte les etapes suivantes : 

organiser les attributs appartenant a chaque domaine d'attribut en une structure hierarchique comportant plusieurs 
niveaux definis selon la relation d'ordre partiel du domaine d'attribut, la pluralite de domaines d'attributs formant 

40 ainsi plusieurs structures hierarchiques ; 

construire pour chaque alerte issue des sondes de detection d'intrusions, un treillis propre a cette alerte en gene- 
ralisant chaque alerte selon chacun de ses attributs et a tous les niveaux de la structure hierarchique, le treillis 
propre comportant des noeuds correspondant a des alertes, lies entre eux par des arcs de sorte que chaque noeud 
est lie a un ou des noeuds parents et/ou un ou des noeuds enfants ou descendants ; 

45 - fusionner de fagon iterative dans un treillis general, chacun des treillis propres ; 

identifier dans le treillis general, les alertes synthetiques en selectionnant les alertes qui sont a la fois les plus 
pertinentes et les plus generales selon des criteres statistiques et selon I'appartenance de leurs attributs a des 
niveaux inferieurs des structures hierarchiques; et 

produire les alertes synthetiques a une unite de sortie d'un systeme de gestion d'alertes afin de presenter une vision 
50 globale de I'ensemble des alertes issues des sondes de detection d'intrusions. 

[0032] Ainsi, la methode selon l'invention est une methode incrementale etfournit des classes d'alertes potentiellement 
non disjointes. 

[0033] Selon un premier aspect de l'invention, la construction d'un treillis propre comporte les etapes suivantes : 

55 

recuperer pour tout attribut generalisable d'une alerte donnee, la valeur generalisee de cet attribut a partir de sa 

structure hierarchique pour former une nouvelle alerte plus generale que ladite alerte donnee; 

ajouter un nouveau noeud au treillis propre correspondant a la nouvelle alerte et ajouter un arc allant du nouveau 
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noeud de la nouvelle alerte au noeud de I'alerte donnee ; 

ajouter des arcs manquants allant des noeuds parents de I'alerte donnee, issus de la generalisation de I'alerte 
donnee selon ses autres attributs, au noeud de la nouvelle alerte. 

5 [0034] Selon un deuxieme aspect de I'invention, la fusion d'un treillis propre donne dans le treillis general comporte 
les etapes suivantes : 

selectionner un premier noeud correspondant a une premiere alerte appartenant au treillis propre donne, et un 
second noeud correspondant a une seconde alerte appartenant au treillis general ; 
10 - supprimer tous les arcs provenant des noeuds parents d'un noeud enfant du premier noeud si ledit noeud enfant 
appartient aussi au treillis general, 

ajouter au treillis general ledit noeud enfant et I'ensemble de ses descendants si ledit noeud enfant n'appartient 
pas au treillis general. 

15 [0035] Selon un troisieme aspect de I'invention, une alerte pertinente est identifiee lorsque chacun des ensembles 
des noeuds enfants de I'alerte pertinente issu d'une specialisation de cette alerte selon chacun de ses domaines 
d'attributs est homogene, et lorsque le nombre d'elements composant ledit chacun des ensembles des noeuds enfants 
de I'alerte pertinente est superieur a une valeur seuil. 

[0036] Avantageusement, les alertes synthetiques sont associees a des differents groupes d'alertes issus des sondes 
20 de sorte que ces groupes ne sont pas forcement mutuellement exclusifs. 

[0037] La pluralite des domaines d'attributs peuvent comporter des domaines parmi les ensembles suivants : ensemble 
des identifiants d'attaques, ensemble des sources d'attaques, ensemble des cibles d'attaques, et ensemble des dates 
d'attaques. 

[0038] L'invention vise aussi un programme informatique concu pour mettre en oeuvre le procede ci-dessus, lorsqu'il 
25 est execute par le systeme de gestion d'alerte. 

Breve description des dessins 

[0039] D'autres particulates et avantages de I'invention ressortiront a la lecture de la description faite, ci-apres, a 
30 titre indicatif mais non limitatif, en reference aux dessins annexes, sur lesquels : 

la figure 1 est une vue tres schematique d'un systeme de securite d'information comportant un systeme de gestion 
d'alertes selon I'invention ; 

la figure 2 est un organigramme de formation d'un treillis propre selon I'invention ; 
35 - la figure 2A montre tres schematiquement le mecanisme de la figure 2 ; 

la figure 3 est un organigramme de fusion d'un treillis propre dans un treillis general selon I'invention ; 

les figures 3A et 3B montrent tres schematiquement le mecanisme de la figure 3 ; 

la figure 4 est un organigramme de selection des alertes synthetiques selon I'invention ; 

la figure 5 montre de facon tres schematique une alerte associee a differentes alertes synthetiques selon I'invention ; 
40 - les figures 6A a 6C montrent tres schematiquement des hierarchies simplifies associees aux differents domaines 
d'attributs des alertes selon I'invention ; et 

la figure 7 illustre un treillis general associe a deux alertes generalisees selon les hierarchies des figures 6A a 6C. 
Description detaillee de modes de realisation 

45 

[0040] La figure 1 illustre un exemple d'un systeme de detection d'intrusions 1 relie au travers un routeur 3 a un reseau 
externe 5 et a un reseau interne 7a et 7b a architecture distribute. 

[0041] Le systeme de detection d'intrusions 1 comporte plusieurs sondes de detection d'intrusions 11 a, 11 b, 1 1c, et 
un systeme de gestion d'alertes 13. Ainsi, une premiere sonde 11a de detection d'intrusions surveille les alertes venant 
50 de I'exterieur, une deuxieme sonde 1 1 b surveille une partie du reseau interne 7a comprenant des stations de travail 1 5 
et un troisieme sonde 11c surveille une autre partie du reseau interne 7b comprenant des serveurs 17 delivrant des 
informations au reseau externe 5. 

[0042] Le systeme de gestion d'alerte 13 peut comporter un note 19 dedie au traitement des alertes, une base de 
donnees 21 , et une unite de sortie 23. 
55 [0043] Ainsi, les sondes 11a, 11b, 11c deployees dans le systeme de detection d'intrusions 1 envoient (fleches 26) 
leurs alertes 25 au systeme de gestion d'alerte 13. Ce dernier, conformement a I'invention, procede a une classification 
automatique de cet ensemble d'alertes et envoie des alertes synthetiques a I'unite de sortie 23 afin de presenter une 
vision globale de I'ensemble des alertes issues des sondes de detection d'intrusions 11a, 11b, 11c. 
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[0044] En effet, I'hote 19 du systeme de gestion d'alerte 13 comprend des moyens de traitement pour proceder a la 
classification automatique des alertes et le stockage de cette classification sous forme de treillis dans la base de donnees 
21. 

[0045] Ainsi, un programme informatique concu pour mettre en oeuvre la presente invention peut etre execute par le 
5 systeme de gestion d'alertes. 

[0046] Les alertes et d'une maniere generale, les donnees qui peuvent faire I'objet d'une classification conceptuelle 
sont des n-uplets d'attributs (a^ l ...a jt ... J a n )e x — xAix — xA n , Ai etant un ensemble discret muni d'une relation 
d'ordre partiel < Al definissant le domaine de I'attribut a,-. 

[0047] Les ensembles partiellement ordonnes peuvent etre represents par un diagramme de Hasse, c'est a dire par 
10 un graphe acyclique dirige ou une structure hierarchique G=(A jf cover(< Al )) dont I'ensemble des noeuds est constitue 

des elements de Ai et I'ensemble des arcs est constitue par la couverture de la relation d'ordre partiel. 

[0048] Dans le present mode de realisation, nous restreignons les hierarchies d'attributs a des arbres equilibres : 

chaque valeur d'attribut a au plus un seul parent et la distance des feuilles au sommet de I'arborescence est une 

constante. Toutefois, la presente invention peut etre facilement adaptee a des hierarchies plus elaborees. 
15 [0049] Une structure hierarchique peut etre consideree comme une structure arborescente ou I'ancetre d'un element 

b est un element a tel que b < Aj a. Dans ce cas on dit que I'element a est plus abstrait ou plus general que I'element 

b, et reciproquement, on dit que I'element b est plus specifique que I'element a. 

[0050] En particulier, I'element a est un ancetre direct de b si (a,b)e cover(< Al ), c'est-a-dire, s'il n'existe pas un 
element intermediate g entre les elements a et b, ou de fagon formelle si b < Ai a et (2 g/(g < Aj a et b < Ai g)). 
20 [0051] Les elements les plus specifiques d'un domaine d'attribut Ai, formant une structure hierarchique, definissent 
ce qu'on appelle les feuilles de cette structure hierarchique. Ainsi, une feuille f est un element f e Ai tel que 2 geAjte\ 
queg< Al f. 

[0052] Chaque attribut possede un niveau d'abstraction ou de generalisation, defini par un entier correspondant a la 
hauteur de I'attribut dans la structure hierarchique. Le niveau 0 est attribue a la racine de la hierarchie, c'est-a-dire a 
25 I'ensemble d'elements le plus general. Le niveau d'abstraction ou de generalisation d'un element quelconque vaut le 
niveau d'abstraction de son ancetre direct augmente de la valeur 1 . 

[0053] Ainsi, chaque alerte peut etre definie par une pluralite d'attributs qualitatifs (a^,,..a i} ..,a n ) appartenant a une 
pluralite de domaines d'attributs (A J \,..., Ai,...An) dont chacun est muni d'une relation d'ordre partiel. 
[0054] Les attributs appartenant a chaque domaine d'attribut Ai peuvent done etre organises en une structure hierar- 
30 chique comportant plusieurs niveaux definis selon la relation d'ordre partiel du domaine d'attribut. Alors, la pluralite de 
domaines d'attributs ^ ,..,,Ai,,..An) forme plusieurs structures hierarchiques. 

[0055] D'une maniere generale, on parlera de « concept » pour designer un element quelconque de >41 x...xAn. En 
outre, les concepts non generalises, c'est-a-dire les concepts dont les attributs n'appartiennent qu'aux feuilles des 
hierarchies sont appeles des « individus ». Ainsi, les alertes issues des sondes de detection d'intrusions 11a, 11b, 11c 

35 peuvent etre considerees comme des individus qui font I'objet de la classification. 

[0056] L'objectif de la classification selon I' invention est d'identifier des concepts pertinents en effectuant des gene- 
ralisations successives sur les attributs des individus, en fonction de leur relation d'ordre partiel. 
[0057] Les concepts a classifier sont structures dans un treillis T=(C, R) ou R c Cx C, et C est I'ensemble des noeuds 
du treillis correspondant aux concepts. Ainsi, dans un treillis la notion de concept peut etre confondue aveccelle du noeud. 

40 [0058] II existe un lien (c p c 2 )e R du noeud vers le noeud c 2 si a, est issu de I'abstraction ou de la generalisation 
de c 2 selon n'importe quel attribut. On note t (c^)={c 2 e C/(c 2 ,c^)e R] I'ensemble des noeuds parents du noeud c-,. De 
meme, on note i (c^)={c 2 eC/(c^,c 2 )e R] I'ensemble des noeuds enfants de c-,. 

[0059] Le sous-ensemble i Ai (c) de I'ensemble 1(c) est I'ensemble des noeuds enfants de c, issus de la specialisation 
de c selon le domaine d'attribut Ai. 
45 [0060] De meme, le sous-ensemble T^' (c) de I'ensemble t (c) est I'ensemble des noeuds parents de c, issus de la 
generalisation de c selon le domaine d'attribut Ai. 

[0061] On notera que la relation i Ai peut etre consideree comme une fonction lorsque la structure hierarchique est 
une structure arborescente. 

[0062] Ainsi, on peut definir une relation d'ordre partiel < sur I'ensemble des concepts de la maniere suivante : 



ou c[Ai] designe I'attribut appartenant au domaine d'attribut Ai du concept c. 

[0063] Cette relation d'ordre partiel < permet de construire pour chaque individu /, en particulier pour chaque alerte 
issue des sondes de detection d'intrusions, un treillis propre a cette alerte en generalisant chaque alerte selon chacun 



50 
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de ses attributs et a tous les niveaux de la structure hierarchique. 

[0064] Formellement, si /=(a-,,...,a n ) est un individu, le treillis propre 77 = (Ci, Ri) associe a I'individu / est defini de la 
maniere suivante: 



[0065] Ainsi, un treillis general contenant I'ensemble des concepts peut etre construit par ajouts successifs des treillis 
propres. 

[0066] L'insertion d'un individu dans le treillis general se fait en fusionnant le treillis propre a I'individu avec le treillis 
general. 

[0067] Formellement, etant donne I'ensemble /d'individus, le treillis general T= (C,R) est defini de la maniere suivante : 



[0068] Ainsi, un treillis propre peut etre construit pour chaque alerte issue des sondes de detection d'intrusions 1 1a, 
1 1 b, 1 1 c. Ce treillis propre comporte done des noeuds correspondant a des alertes, lies entre eux par des arcs de sorte 
que chaque noeud est lie a un ou des noeuds parents et/ou un ou des noeuds enfants ou descendants. 
[0069] Ensuite, chacun des treillis propres associes aux alertes issues des sondes de detection d'intrusions peut etre 
fusionne de fagon iterative dans le treillis general. 

[0070] Finalement, des alertes synthetiques peuvent etre identifies dans le treillis general, en selectionnant les alertes 
qui sont a la fois les plus pertinentes et les plus generales selon des criteres statistiques et selon I'appartenance de 
leurs attributs a des niveaux inferieurs des structures hierarchiques. 

[0071] En effet, les figures 2 a 4, montrent des organigrammes illustrant la formation du treillis propre a un individu 
donne, la fusion d'un treillis propre donne dans le treillis general, et la selection des concepts pertinents et generaux. 
[0072] L'organigramme de Iafigure2 montre la formation d'un treillis propre a un individu donne. Plus particulierement, 
il montre la construction d'un treillis propre Ti = (Ci,Ri) en cours d'elaboration au voisinage d'un concept donne ou alerte 
donnee. 

[0073] Ainsi, a I'etape EO, on definit le concept donne c = (a-,,..., a n ) ainsi que I'indice / correspondant a I'indice de 
I'attribut a partir duquel la generalisation est mise en oeuvre, sachant que les generalisations selon les attributs d'indices 
inferieurs sont considerees comme correspondant a des concepts qui ont deja ete ajoutes au treillis propre 77 au cours 
d'appels recursifs anterieurs. 

[0074] Les etapes E1 a E3 sont une boucle principale qui itere sur les indices d'attributs selon lesquels le noeud 
donne en parametre, a I'etape EO, va etre generalise. L'iteration est faite pour tous les indices k entre / et n et pour tous 
les attributs a k generalisables. 

[0075] Ainsi, pour tout attribut a^qui peut etre generalise a partir desa structure hierarchique, on calcule a I'etape E2 
lafonction genAtt(c,k) qui recupere la valeur de I'attribut qui generalise celui de a^pour former un concept pcorrespondant 
a la generalisation du concept c selon I'indice k. 

[0076] Ce concept generalise p est ajoute au treillis Ci = Ci u p et un arc est ajoute allant du concept c vers le concept 
p, e'est-a-dire Ri= Riu{(p,c)}. 

[0077] L'etape E3 est une boucle interne qui ajoute les arcs manquants allant des noeuds parents du concept c, issus 
de la generalisation de c selon tous les attributs d'indice inferieur ou egal a k, e'est-a-dire Ri= Rkj{([ Ak X Ah (c),p)}. 
[0078] L'etape E4 est un appel recursif ou l'organigramme est applique pour des nouveaux parametres. 
[0079] Ainsi, I'algorithme de la formation d'un treillis propre pour un concept donne c peut etre decrit comme ci-dessous: 




Ri = <(c j9 c k )eCixCi/ 



3.Al/{cj[Al\c k [Al])e 

VAm ±Al,Cj [Am] = c k [A m] J 



C = U Ci et R = U Ri 
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Algorithme :Treillis propre 
Donnees : Le concept c = (a l9 ...,a n ), 

Pine/ice I de I'attribut a partir duquel generalise^ 

le treillis Ti = {d,Ri) en cours 

d'elaboration. 
10 pour k e [l; n] fa/re 

si a k est generalisable, alors 
p = genAtt{c,k) 
Ci = Ci\Jp 
Ri = Ri\j{(p,c)} 
pour he [o,k] fa ire 

Ri = RiU^ Ak 1 Ah {c\p} 

20 



25 fin 

fin 

Treillis propre(p, k, 77) 

fin. 

30 

[0080] Plus particulierement, la figure 2A montre un exemple de la construction du treillis propre 31 a partir d'une 

alerte donnee correspondant a un noeud donne A selon le deuxieme attribut du noeud A. Autrement dit, a partir des 

parametres d'appel (c = A,k= 1,77 = 7c). 
35 [0081] D'une maniere generale, pour tout attribut generalisable de I'alerte donnee, on recupere la valeur generalised 

de cet attribut a partir de sa structure hierarchique pour former une nouvelle alerte plus generale que I'alerte donnee. 

[0082] Selon cet exemple, a I'etape k = 2 de I'algorithme, un nouveau noeud D correspondant a la nouvelle alerte 

formee selon la generalisation du deuxieme attribut du noeud A, est ajoute au treillis propre ainsi qu'un arc (D, A) allant 

du nouveau noeud D de la nouvelle alerte au noeud A de I'alerte donnee. 
40 [0083] Ensuite des arcs manquants allant des noeuds parents de I'alerte donnee A au noeud D de la nouvelle alerte 

sont ajoutes. Les noeuds parents de I'alerte donnee sont issus de la generalisation de I'alerte donnee selon ses autres 

attributs. 

[0084] Selon cet exemple, a I'iteration precedente (k= 1), le treillis de sommet B a ete construit. Les generalisations 
de D selon des attributs dont I'indice est inferieur a /cont deja ete ajoutees, en I'occurrence C, pour k= 1. Ainsi, seul 
45 rare manquant (C, D) est ajoute. 

[0085] L'algorithme est re-execute recursivement avec comme parametres (D, 2, T). 

[0086] D'une maniere generale, le treillis propre a un individu i=(a^ } ,..,a n ) est obtenu en appelant l'algorithme Treillis 
Propre (c=i,k=\ , Ti=({i},{ })), sachant qu'au depart, le treillis propre associe au noeud / est forme d'un seul noeud et 
I'ensemble des arcs est encore vide. 
50 [0087] L'organigramme de la figure 3 montre la fusion d'un treillis propre donne dans le treillis general. 

[0088] A I'etape E10, les parametres d'initialisation sont definis. En particulier, il est selectionne un premier noeud 
correspondant a une premiere alerte ou concept h appartenant au treillis propre 77 = {Ci,Rt), et un second noeud 
correspondant a une seconde alerte ou concept g appartenant au treillis general T= (C,R). 

[0089] La boucle principale entre les etapes E1 1 et E14 ou E15, itere sur I'ensemble des noeuds enfants du noeud 
55 h du treillis propre passe en parametre, e'est-a-dire pour hj e I (h). 

[0090] Ainsi, a I'etape E1 1 un noeud enfant hj du premier noeud h est choisi. 

[0091 ] A I'etape E1 2, on verifie si ce noeud enfant /? y du premier noeud h appartient aussi au treillis general. Autrement 
dit, on verifie si 3g y - e I (g) tel que g y - = hj. 
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[0092] Dans I'affirmative, tous les arcs provenant des noeuds parents de ce noeud enfant sont supprimes Ri= f?/-t 
(hj) a I'etape E13, avant de passer a I'etape E14. 

[0093] En effet, la proposition suivante dit que si un noeud hj d'un treillis propre existe deja dans le treillis general, 
alors I'ensemble de ses parents s'y trouve aussi, c'est-a-dire : 

(hj e Ci A3g k e C,hj = gjfc)=>T (A) £ C. 

[0094] L'etape E15 est un appel recursif ou I'organigramme est applique a nouveau a partir de I'etape E1 1 mais pour 
des nouveaux parametres. 

[0095] En effet, les enfants du noeud h } ne sont pas forcement dans le treillis general, il faut done executer recursivement 
l'algorithme sur ce noeud h y 

[0096] En revanche, si le noeud enfant n'appartient pas au treillis general, alors il suffit de I'y ajouter T=TuThj ainsi 
que I'ensemble de ses descendants a I'etape E15 avant de revenir a I'etape E1 1 . 

[0097] La contraposee de la proposition precedente nous assure qu'il n'y aura pas de duplication de noeuds. 
[0098] Ainsi, Palgorithme de la fusion d'un treillis propre au treillis general peut etre decrit comme ci-dessous : 

Algorithme ; Fusion Treillis 

Donnees ; Un concept g du treillis general T = (C,i?), 

un concept h du treillis propre Ti = (Ci 9 Ri) de 

llndividu i 

pour chaque concept hj e I (h) fa/re 

si 3gj el{g) telque gj = hj alors 

Ri=m-t(hj) 

Fusion Treillis (gj ,hj) 

fin 

sinon 

r = r u Thj 

fin 

fin. 

[0099] Les figures 3A et 3B schematised le mecanisme de fusion d'un treillis propre au treillis general, selon I'orga- 
nigramme de la figure 3. 

[0100] Dans ces deux figures 3A et 3B, la portion de treillis de gauche appartient au treillis general et celle de droite 
au treillis propre que Ton souhaite fusionner. Les noeuds grises sont les parametres d'appel de I'algorithme. lis sont 
egaux, par hypothese (A = A'). 

[0101] Selon la figure 3A, I'un des enfants B de A' est deja present dans A (B = B). Les liens 41 , 43, et 45 vers les 
ancetres immediats de B'sont supprimes car on sait qu'ils sont deja dans le treillis general. L'algorithme est alors appele 
recursivement sur B et B'. 

[0102] Selon la figure 3B, le noeud C n'existe pas en tant qu'enfant de A, alors un lien 47 (en pointilles) est cree entre 
A et C, et le lien 49 qui liait C a A' est supprime. Le sous treillis ayant comme sommet C est done integre au treillis general. 
[01 03] L'algorithme est appele avec comme arguments les sommets du treillis propre a I'individu a inserer et le sommet 
du treillis general. Comme tous les treillis ont un meme sommet correspondant au noeud le plus general, I'hypothese 
selon laquelle les concepts passes en arguments a l'algorithme sont egaux est respectee. 

[0104] L'organigramme de la figure 4 montre I'identification des alertes ou concepts synthetiques fournissant un 
ensemble Pdes alertes ou concepts qui sont a la fois les plus pertinents et les plus generaux d' une alerte ou d'un concept c. 
[0105] Une alerte ouun concept cest dit pertinentsichacun des ensembles i Ai (c) est « homogene »et« suffisamment 
grand ». 
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[0106] Un ensemble d'alertes ou de concepts est homogene si la dispersion du nombre d'individus couverts par 

chaque concept n'est pas trop grande. On utilise a cet effet, de facon connue un coefficient de variation. 

[01 07] Un ensemble i Ai (c) est suffisamment grand si le nombre d'elements qui le compose est superieur a une valeur 

seuil Nee au niveau d'abstraction ou de generalisation de I'attribut Aide c. 

[0108] Formellement : 



\Ai\>T c et-^-<\ 



ou la fonction p(c) designe une fonction booleenne indiquant si un noeud est pertinent; F Aj est I'ensemble forme des 
d'individus couverts par chaque concept de i Ai (c) ; m FAj est la moyenne de F Aj ; o FAj sa variance; et x CAj represente la 
valeur de seuil liee au niveau d'abstraction du domaine d'attribut Aide c. 

[0109] Le nombre d'individus couverts par un concept est une valeur liee a chaque noeud du treillis et mise a jour 
lors de la fusion d'un treillis propre associe a un individu avec le treillis general. 

[0110] Ainsi, une alerte est dite pertinente si chacun des ensembles des noeuds enfants de I'alerte pertinente cissus 
de la specialisation de cette alerte cselon chacun de ses domaines d'attributs est homogene, et si le nombre d'elements 
composant chacun des ensembles des noeuds enfants de I'alerte pertinente cest superieur a une valeur seuil. 
[0111] L'etape E20 de I'organigramme de lafigure 4, correspond a la definition des parametres d'appel. Ces parametres 
comportent un concept cdu treillis general T= (C,R), un ensemble Pdes concepts pertinents precedemment trouves, 
et un entier t utilise pour le parcours du treillis. 

[0112] L'etape E21 , est un test pour verifier la pertinence de c. Ainsi si le concept c est pertinent, alors on passe a 
l'etape E22, ou le concept cest ajoute a I'ensemble Pdes concepts pertinents P=Pu{c}, et I'ensemble des concepts 
plus specifiques que c eventuellement ajoutes precedemment sont elimines de I'ensemble P, c'est-a-dire P= P-{Cj(= 
P/Cj< c}. En effet, on cherche les concepts les plus abstraits, tout en etant pertinents. 

[0113] En revanche, si cn'estpas pertinent, alors I'algorithme est applique recursivement, a Petapes E23sur I'ensemble 
des enfants de c issus de la specialisation de cselon les attributs d'indices /'superieurs ou egaux a t, c'est-a-dire c,<e 
4 Ai (c), sachant que les autres attributs ont deja ete analyses. 

[0114] Quand I'algorithme se termine, une liste comportant les concepts juges pertinents et generaux est fournie a 
I'unite de sortie 23 du systeme de gestion d'alertes 13 afin qu'un operateur de securite puisse avoir une vision globale 
de I'ensemble des alertes. Si ce dernier souhaite des details sur un concept quelconque c qu'il juge trop abstrait, alors 
I'algorithme est re-execute sur I'ensemble des enfants de ce concept c. 

[0115] Ainsi, I'algorithme d'identification des concepts synthetiques peut etre decritcomme ci-dessous : 
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Algorithme : Synthitiques 

Donnees : Un concept c du trelllis general T = (C, Vl), 
s un ensemble P des concepts pertinents pricidemment trouvSs 

un entiert utilise pour le parcours du trelllis 
si p(c) alors 

P = P-{Ci€ P/Ci <c} 

P = PU{c} 
fin 

smon 

pour I e [t,n] faire 

pourchaque element c t e i M (c) faire 
Synthetiques^ ,P,l) 
fin 

fin 



20 



fin 



[01 16] On notera que les alertes synthetiques sont associees a des differents groupes d'alertes issus des sondes de 
30 sorte que ces groupes ne sont pas forcement mutuellement exclusifs. 

[0117] En effet, la figure 5 montre de facon tres schematique une alerte associee a differentes alertes synthetiques. 

[0118] Les alertes A1 a A6 emises par les sondes de detection d'intrusions sont les feuilles du treillis general. Le 

groupe d'alertes associe a une alerte generale est I'ensemble des feuilles accessibles depuis cette alerte generale. 

[0119] Ainsi, le groupe d'alerte A123 est associe a I'alerte synthetique S1 et le groupe d'alerte A34 est associe a 
35 I'alerte synthetique S2. En revanche, les alertes A4 a A6 sont associees a une alerte generale A7 qui n'est pas une 

alerte synthetique. 

[0120] Etant donne la structure meme du treillis, les groupes d'alertes ne sont pas mutuellement exclusifs. Ainsi, 
I'alerte A3 participe a deux phenomenes, c'est-a-dire a deux groupes d'alertes differents A123 et A34. 
[0121] Les alertes issues de sondes de detection d'intrusions sont des individus definis par une pluralite d'attributs 
40 appartenant a une pluralite de domaines d'attributs. Les domaines d'attributs peuvent comporter un ensemble des 
identifiants d'alertes, un ensemble des sources d'attaques, un ensemble des cibles d'attaques, et un ensemble des 
dates d'attaques. 

[0122] Les figures 6A a 7, montrent un exemple simplifies de classification d'un ensemble d'alertes issues de sondes 
de detection d'intrusions. 

45 [0123] Selon cet exemple, les alertes sont des triplets (nom,src,dst)e NxSxD, ou N represente I'ensemble des 
identifiants d'alertes, S represente I'ensemble des sources d'attaques, et D represente I'ensemble des cibles d'attaques. 
Dans d'autres exemples, les alertes pourraient etre constitutes d'autres types d'attributs, ou bien les memes mais avec 
des domaines definis differemment. 

[0124] Au niveau d'abstraction le plus bas, les identifiants d'alertes sont les identifiants de signatures de I'outil de 
50 detection d'intrusions Snort™. Le niveau d'abstraction superieur estconstitue des classes d'attaques definies par Snort™. 
Le niveau d'abstraction superieur estconstitue d'un seul element, «any». 

[0125] En effet, la figure 6A montre une hierarchie simplifiee associee au domaine de I'ensemble des identifiants. Le 
premier niveau d'abstraction ou de generalisation N11 comporte les elements « att1 » et « att2 ». Les deuxieme et 
troisieme niveaux de generalisation N12, N13 comportent les elements « web-attack » et « any » respectivement. 
55 [0126] Au niveau d'abstraction le plus bas, les sources d'attaques sont des adresses du type IPv4. Le niveau d'abs- 
traction superieur est constitue des noms de domaines de reseau geres par I'organisme IANA™ et ses branches locales 
(RIPE, APNIC, ARIN, etc.). Les adresses IP non enregistrees dans la base IANA™ ou les adresses publiques internes 
au systeme d'information surveille ou les adresses IP privees, sont abstraites en notation du type CIDR (par exemple 
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192.168.0.0/24). Le niveau superieur peut etre constitue de deux elements, « external » et « internal » pour designer 
I'exterieuretl'interieurdu systeme d'information. Le niveau d'abstractionsuivant est constitue d'unseul element, « any ». 
[0127] L'exemple de la figure 6B montre une hierarchie simplifiee associee au domaine de I'ensemble de sources 
d'attaques. Le premier niveau d'abstraction ou de generalisation comportant les elements « 192.168.0.1 » et 
5 « 192.168.0.33 ». Les deuxieme ettroisieme niveaux de generalisation comportent les elements « internal » et « any » 
respectivement. 

[0128] Au niveau d'abstraction le plus bas, les cibles d'attaques sont les adresses IP publiques et privees du systeme 
d'information. Le niveau d'abstraction suivant est constitue des adresses de reseau en notation CIDR. Le niveau d'abs- 
traction suivant est constitue d'un seul element, «any». 
10 [0129] La figure 6C montre une hierarchie simplifiee associee au domaine de I'ensemble de cibles d'attaques. Les 
premier, deuxieme ettroisieme niveaux d'abstraction ou de generalisation comportent les elements « 192.168.0.10 », 
« proxy », et « any » respectivement. 

[0130] La figure 7 illustre un treillis general associe a deux alertes A1 et A2 definis par A1(att2, 192.168.0.1, 
192.168.0.10) et A2(att1 , 192.168.0.33, 192.168.0.10). 
15 [0131] Selon cet exemple et d'apres les hierarchies d'attributs des figures 6A a 6C, les identifiants d'attaque sont 
generalises en classe d'attaque « web-attack », puis en « any ». 

[0132] Les adresses IP des attaquants sont generalisees en « internal » puis en « any ». 

[0133] Les adresses IP des victimes sont generalisees en fonction d'hote « proxy », puis en « any ». 

[0134] Selon cet exemple, il y a deux attaquants distincts 192.168.0.1 de I'alerte A1 et 192.168.0.33 de I'alerte A2 

20 qui sont des adresses IP internes. II y a une seule victime 192.168.0.10, qui est un proxy web. 

[0135] L'alerte la plus abstraite inferee par le systeme est (any, any, any). Les f leches pleines denotent une genera- 
lisation selon I'attribut qui correspond a I'attaque, les fleches en tirets denotent une generalisation selon I'attribut qui 
correspond a I'attaquant, et les fleches en pointilles denotent une generalisation selon I'attribut qui correspond a la victime. 
[0136] A Tissue du processus de selection des alertes pertinentes, le systeme propose I'alerte synthetique (web- 

25 attack, internal, proxy). Les autres alertes sont soit trop generales, soit trop specifiques. 



Revendications 

30 1. Procede de classification automatique d'un ensemble d'alertes issues de sondes de detection d'intrusions (11a, 
11b, 11c) d'un systeme de securite d'information (1) pour produire des alertes synthetiques, chaque alerte etant 
definie par une pluralite d'attributs qualitatifs (a^,...,a n ) appartenant a une pluralite de domaines d'attributs (Al,..., 
An) dont chacun est muni d'une relation d'ordre partiel, caracterise en ce qu'il comporte les etapes suivantes : 

35 - organiser les attributs appartenant a chaque domaine d'attribut en une structure hierarchique comportant 

plusieurs niveaux definis selon la relation d'ordre partiel du domaine d'attribut, la pluralite de domaines d'attributs 
formant ainsi plusieurs structures hierarchiques ; 

- construire pour chaque alerte issue des sondes de detection d'intrusions (11a, 11b, 11 c), un treillis propre a 
cette alerte en generalisant chaque alerte selon chacun de ses attributs et a tous les niveaux de la structure 

40 hierarchique, le treillis propre comportant des noeuds, correspondant a des alertes, lies entre eux par des arcs 

de sorte que chaque noeud est lie a un ou des noeuds parents et/ou un ou des noeuds enfants ou descendants ; 

- fusionner de fagon iterative dans un treillis general, chacun des treillis propres ; 

- identifier dans le treillis general, les alertes synthetiques en selectionnant les alertes qui sont a la fois les plus 
pertinentes et les plus generales selon des criteres statistiques et selon I'appartenance de leurs attributs a des 

45 niveaux inferieurs des structures hierarchiques; et 

- produire les alertes synthetiques a une unite de sortie (23) d'un systeme de gestion d'alertes (13) afin de 
presenter une vision globale de I'ensemble des alertes issues des sondes de detection d'intrusions (11a, 11b, 
11c). 

50 2. Procede selon la revendication 1, caracterise en ce que la construction d'un treillis propre comporte les etapes 
suivantes : 

- recuperer pour tout attribut generalisable d'une alerte donnee, la valeur generalised de cet attribut a partir de 
sa structure hierarchique pour former une nouvelle alerte plus generale que ladite alerte donnee ; 

55 - ajouter un nouveau noeud au treillis propre correspondant a la nouvelle alerte et ajouter un arc allant du 

nouveau noeud de la nouvelle alerte au noeud de I'alerte donnee ; 

- ajouter des arcs manquants allant des noeuds parents de I'alerte donnee, issus de la generalisation de I'alerte 
donnee selon ses autres attributs, au noeud de la nouvelle alerte. 
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3. Procede selon I'une quelconque des revendications 1 et 2, caracterise en ce que la fusion d'un treillis propre 
donne dans le treillis general comporte les etapes suivantes : 

- selectionner un premier noeud correspondant a une premiere alerte appartenant au treillis propre donne, et 
5 un second noeud correspondant a une seconde alerte appartenant au treillis general ; 

- supprimer tous les arcs provenant des noeuds parents d'un noeud enfant du premier noeud si ledit noeud 
enfant appartient aussi au treillis general, 

- ajouter au treillis general ledit noeud enfant et I'ensemble de ses descendants si ledit noeud enfant n'appartient 
pas au treillis general. 

10 

4. Procede selon I'une quelconque des revendications 1 a 3, caracterise en ce que une alerte pertinente est identifiee 
lorsque chacun des ensembles des noeuds enfants de I'alerte pertinente issus d'une specialisation de cette alerte 
selon chacun de ses domaines d'attributs est homogene, et lorsque le nombre d'elements composant ledit chacun 
des ensembles des noeuds enfants de I'alerte pertinente est superieur a une valeur seuil. 

15 

5. Procede selon I'une quelconque des revendications 1 a 4, caracterise en ce que les alertes synthetiques sont 
associees a des differents groupes d'alertes issus des sondes de sorte que ces groupes ne sont pas mutuellement 
exclusifs. 

20 6. Procede selon I'une quelconque des revendications 1 a 5, caracterise en ceque la pluralite des domaines d'attributs 
comporte des domaines parmi les ensembles suivants : ensemble des identifiants d'alertes, ensemble des sources 
d'attaques, ensemble des cibles d'attaques, et ensemble des dates d'attaques. 

7. Programme informatique caracterise en ce qu'il estconcu pour mettre en oeuvre le procede selon I'une quelconque 
25 des revendications 1 a 6 lorsqu'il est execute par le systeme de gestion d'alertes (13). 

8. Systeme de gestion d'alerte (13) pour une classification automatique d'un ensemble d'alertes issues de sondes de 
detection d'intrusions (11a, 11b, 11c) produisant des alertes synthetiques, chaque alerte etant definie par une 
pluralite d'attributs qualitatifs (a v ...,a n ) appartenant a une pluralite de domaines d'attributs (A'l^.^An) dont chacun 

30 est muni d'une relation d'ordre partiel, caracterise en ce qu'il comporte : 

- des moyens de traitement pour organiser les attributs appartenant a chaque domaine d'attribut en une structure 
hierarchique comportant plusieurs niveaux definis selon la relation d'ordre partiel du domaine d'attribut, la 
pluralite de domaines d'attributs formant ainsi plusieurs structures hierarchiques ; 

35 - des moyens de traitement pour construire pour chaque alerte issue des sondes de detection d'intrusions (11a, 

11b, 11c), un treillis propre a cette alerte en generalisant chaque alerte selon chacun de ses attributs et a tous 
les niveaux de la structure hierarchique, le treillis propre comportant des noeuds, correspondant a des alertes, 
lies entre eux par des arcs de sorte que chaque noeud est lie a un ou des noeuds parents et/ou un ou des 
noeuds enfants ou descendants ; 

40 - des moyens de traitement pour fusionner de fagon iterative dans un treillis general, chacun des treillis propres ; 

- des moyens de traitement pour identifier dans le treillis general, les alertes synthetiques en selectionnant les 
alertes qui sont a la fois les plus pertinentes et les plus generales selon des criteres statistiques et selon 
I'appartenance de leurs attributs a des niveaux inferieurs des structures hierarchiques; et 

- des moyens de traitement pour produire les alertes synthetiques a une unite de sortie (23) afin de presenter 
45 une vision globale de I'ensemble des alertes issues des sondes de detection d'intrusions (11a, 11b, 11c). 

9. Systeme de securite d'information (1) comprenant des sondes de detection d'intrusions et un systeme de gestion 
d'alerte (13) selon la revendication 8. 

50 

Claims 

1 . Method of automatically classifying a set of alerts obtained from intrusion detection probes (1 1 a, 1 1 b, 1 1 c) of an 
information security system (1) for producing summary alerts, each alert being defined by a plurality of qualitative 
55 attributes (a v ..,, a n ) affiliated to a plurality of attribute domains (A 1f A n ), each of which is provided with a partial 

order relation, characterized in that it comprises the following steps: 

- organizing the attributes affiliated to each attribute domain into a hierarchical structure comprising a number 
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of levels defined according to the partial order relation of the attribute domain, the plurality of attribute domains 
thus forming a number of hierarchical structures; 

- constructing for each alert obtained from the intrusion detection probes (11a, 11b, 1 1 c) a trellis specific to this 
alert by generalizing each alert according to each of its attributes and to all the levels of the hierarchical structure, 

5 the specific trellis comprising nodes, corresponding to alerts, interlinked by arcs such that each node is linked 

to one or more parent nodes and/or one or more child or descendent nodes; 

- iteratively merging each of the specific trellises into a general trellis; 

- identifying in the general trellis, the summary alerts by selecting the alerts that are both the most relevant and 
the most general according to statistical criteria and according to the affiliation of their attributes to lower levels 

10 of the hierarchical structures; and 

- producing summary alerts to an output unit (23) of an alert management system (13) in order to present an 
overview of all the alerts obtained from the intrusion detection probes (1 1 a, 1 1 b, 1 1c). 

2. Method according to Claim 1 , characterized in that the construction of a specific trellis comprises the following steps: 

15 

- recovering for any generalizable attribute of a given alert, the generalized value of this attribute from its 
hierarchical structure to form a new alert that is more general than said given alert; 

- adding a new node to the specific trellis corresponding to the new alert and adding an arc going from the new 
node of the new alert to the node of the given alert; 

20 - adding missing arcs going from the parent nodes of the given alert, derived from the generalization of the 

given alert according to its other attributes, to the node of the new alert. 

3. Method according to any one of Claims 1 and 2, characterized in that the merging of a given specific trellis into 
the general trellis comprises the following steps: 

25 

- selecting a first node corresponding to a first alert affiliated to the given specific trellis, and a second node 
corresponding to a second alert affiliated to the general trellis; 

- deleting all the arcs originating from the parent nodes of a child node of the first node if said child node is also 
affiliated to the general trellis, 

30 - adding to the general trellis said child node and all of its descendents if said child node is not affiliated to the 

general trellis. 

4. Method according to any one of Claims 1 to 3, characterized in that a relevant alert is identified when each of the 
sets of the child nodes of the relevant alert obtained from a specialization of this alert according to each of its attribute 

35 domains is uniform, and when the number of elements forming said each of the sets of the child nodes of the relevant 

alert is greater than a threshold value. 

5. Method according to any one of Claims 1 to 4, characterized in that the summary alerts are associated with different 
alert groups obtained from the probes such that these groups are not mutually exclusive. 

40 

6. Method according to any one of Claims 1 to 5, characterized in that the plurality of attribute domains comprises 
domains from the following sets: set of alert identifiers, set of attack sources, set of attack targets, and set of attack 
dates. 

45 7. Computer program characterized in that it is designed to implement the method according to any one of Claims 
1 to 6 when it is executed by the alert management system (13). 

8. Alert management system (1 3) for automatically classifying a set of alerts obtained from intrusion detection probes 
(11a, 11b, 11c) producing summary alerts, each alert being defined by a plurality of qualitative attributes (a 7 , a n ) 
50 affiliated to a plurality of attribute domains (A 1t A n ), each of which is provided with a partial order relation, 

characterized in that it comprises: 

- processing means for organizing the attributes affiliated to each attribute domain into a hierarchical structure 
comprising a number of levels defined according to the partial order relation of the attribute domain, the plurality 

55 of attribute domains thus forming a number of hierarchical structures; 

- processing means for constructing, for each alert obtained from the intrusion detection probes (1 1 a, 1 1 b, 1 1 c), 
a trellis specific to this alert by generalizing each alert according to each of its attributes and to all the levels of 
the hierarchical structure, the specific trellis comprising nodes, corresponding to alerts, interlinked by arcs such 
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that each node is linked to one or more parent nodes and/or one or more child or descendent nodes; 

- processing means for iteratively merging into a general trellis each of the specific trellises; 

- processing means for identifying in the general trellis the summary alerts by selecting the alerts that are both 
the most relevant and the most general according to statistical criteria and according to the affiliation of their 
attributes to lower levels of the hierarchical structures; and 

- processing means for producing summary alerts to an output unit (23) in order to present an overview of the 
set of alerts obtained from the intrusion detection probes (11a, 11b, 11c). 

9. Information security system (1) comprising intrusion detection probes and an alert management system (13) ac- 
cording to Claim 8. 



Patentanspruche 

1 . Verfahren zur automatischen Klassifizierung einer Gruppe von Alarmanzeigen, die von Intrusion-Detection-Sonden 
(11a, 11b, 11c) eines Informationssicherheitssystems (1 ) stammen, urn synthetische Alarmanzeigen zu erzeugen, 
wobei jede Alarmanzeige durch mehrere qualitative Attribute (a-,, a n ) definiert wird, die zu mehreren Attributdo- 
manen (A-, , A n ) gehoren, von denen jede mit einer partiellen Ordnungsrelation versehen ist, dadurch gekenn- 
zeichnet, dass es die folgenden Schritte aufweist: 

- Organisieren der zu jeder Attributdomane gehorenden Attribute in einer hierarchischen Struktur, die mehrere 
Ebenen aufweist, die gemaB der partiellen Ordnungsrelation der Attributdomane definiert sind, wobei die meh- 
reren Attributdomanen so mehrere hierarchische Strukturen bilden; 

-fur jede von den Intrusion-Detection-Sonden (11a, 11b, 11c) stammende Alarmanzeige, Konstruieren eines 
dieser Alarmanzeige eigenen Gitters, indem jede Alarmanzeige gemafB jedem ihrer Attribute und auf alien 
Ebenen der hierarchischen Struktur verallgemeinert wird, wobei das Eigengitter Alarmanzeigen entsprechende 
Knoten aufweist, die miteinander derart durch Bogen verbunden sind, dass jeder Knoten mit einem oder meh- 
reren Elternknoten und/oder mit einem oder mehreren Kind- oder Nachkommen-Knoten verbunden ist; 

- iteratives Fusionieren jedes der Eigengitter in einem allgemeinen Gitter; 

- Identifizieren der synthetischen Alarmanzeigen im allgemeinen Gitter, indem die Alarmanzeigen ausgewahlt 
werden, die gemaB statistischen Kriterien und gemafB der Zugehorigkeit ihrer Attribute zu unteren Ebenen der 
hierarchischen Strukturen sowohl die relevantesten als auch die allgemeinsten sind; und 

- Erzeugen der synthetischen Alarmanzeigen an einer Ausgangseinheit (23) eines Alarmanzeigen-Verwaltungs- 
systems (13), urn eine globale Sicht der Gesamtheit der von den Intrusion-Detection-Sonden (11a, 11b, 11c) 
stammenden Alarmanzeigen zu prasentieren. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Konstruktion eines Eigengitters die folgenden 
Schritte aufweist: 

- fur jedes verallgemeinerbare Attribut einer gegebenen Alarmanzeige Wiedergewinnen des verallgemeinerten 
Werts dieses Attributs ausgehend von seiner hierarchischen Struktur, urn eine neue Alarmanzeige zu bilden, 
die allgemeiner ist als die gegebene Alarmanzeige; 

- Hinzufugen eines neuen Knotens zum Eigengitter entsprechend der neuen Alarmanzeige und Hinzufugen 
eines Bogens, der von dem neuen Knoten der neuen Alarmanzeige zum Knoten der gegebenen Alarmanzeige 
geht; 

- Hinzufugen von fehlenden Bogen, die von den Elternknoten der gegebenen Alarmanzeige, die von der Ver- 
allgemeinerung der gegebenen Alarmanzeige gemafB ihren anderen Attributen stammen, zum Knoten der neuen 
Alarmanzeige gehen. 

3. Verfahren nach einem der Anspruche 1 und 2, dadurch gekennzeichnet, dass die Fusion eines gegebenen 
Eigengitters im allgemeinen Gitter die folgenden Schritte aufweist: 

- Wahlen eines ersten Knotens, der einer ersten Alarmanzeige entspricht, die zum gegebenen Eigengitter 
gehort, und eines zweiten Knotens, der einer zweiten Alarmanzeige entspricht, die zum allgemeinen Gitter 
gehort; 

- Loschen aller Bogen, die von den Elternknoten eines Kindknotens des ersten Knotens kommen, wenn der 
Kindknoten auch zum allgemeinen Gitter gehort; 

- Hinzufugen des Kindknotens und der Gesamtheit seiner Nachkommen zum allgemeinen Gitter, wenn der 
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Kindknoten nicht zum allgemeinen Gitter gehort. 

Verfahren nach einem der Anspruche 1 bis 3, dadurch gekennzeichnet, dass eine relevante Alarmanzeige iden- 
tifiziert wird, wenn jede der Gruppen von Kindknoten der relevanten Alarmanzeige, die von einer Spezialisierung 
dieser Alarmanzeige gemaB jeder ihrer Attributdomanen stammen, homogen ist, und wenn die Anzahl von Elemen- 
ten, die jede der Gruppen der Kindknoten der relevanten Alarmanzeige bilden, uber einem Schwellwert liegt. 

Verfahren nach einem der Anspruche 1 bis 4, dadurch gekennzeichnet, dass die synthetischen Alarmanzeigen 
verschiedenen Gruppen von Alarmanzeigen zugeordnetsind, die von den Sonden stammen, so dass diese Gruppen 
sich nicht gegenseitig ausschlieBen. 

Verfahren nach einem der Anspruche 1 bis 5, dadurch gekennzeichnet, dass die Vielzahl der Attributdomanen 
Domanen unter den folgenden Gruppen aufweist: Gruppe der Alarmanzeige-Kennungen, Gruppe der Angriffsquel- 
len, Gruppe der Angriffsziele, und Gruppe der Angriffsdaten. 

Computerprogramm, dadurch gekennzeichnet, dass es konzipiert ist, urn das Verfahren nach einem der Anspru- 
che 1 bis 6 anzuwenden, wenn es vom Alarmanzeigen-Verwaltungssystem (13) ausgefuhrt wird. 

Alarmanzeigen-Verwaltungssystem (13) fur eine automatische Klassifizierung einer Gruppe von Alarmanzeigen, 
die von Intrusion-Detection-Sonden (11a, 11b, 11c) stammen, die synthetische Alarmanzeigen erzeugen, wobei 
jede Alarmanzeige durch mehrere qualitative Attribute (a-,, a n ) definiert wird, die zu mehreren Attributdomanen 
(A-,, A n ) gehoren, von denen jede mit einer partiellen Ordnungsrelation versehen ist, dadurch gekennzeichnet, 
dass es aufweist: 

- Verarbeitungsmittel, urn die Attribute, die zu jeder Attributdomane gehoren, in einer hierarchischen Struktur 
zu organisieren, die mehrere Ebenen aufweist, die gemaB der partiellen Ordnungsrelation der Attributdomane 
definiert sind, wobei die mehreren Attributdomanen so mehrere hierarchische Strukturen bilden; 

- Verarbeitungsmittel, urn fur jede von den Intrusion-Detection-Sonder (1 1 a, 1 1 b, 1 1 c) stammende Alarmanzeige 
ein dieser Alarmanzeige eigenes Gitter zu konstruieren, indem jede Alarmanzeige gemaB jedem ihrer Attribute 
und auf alien Ebenen der hierarchischen Struktur verallgemeinert wird, wobei das Eigengitter Alarmanzeigen 
entsprechende Knoten aufweist, die miteinander derart durch Bogen verbunden sind, dass jeder Knoten mit 
einem oder mehreren Elternknoten und/oder mit einem oder mehreren Kind- oder Nachkommen-Knoten ver- 
bunden ist; 

- Verarbeitungsmittel, urn jedes der Eigengitter iterativ in einem allgemeinen Gitter zu fusionieren; 

- Verarbeitungsmittel, urn im allgemeinen Gitter die synthetischen Alarmanzeigen zu identifizieren, indem die 
Alarmanzeigen ausgewahlt werden, die gemaB statistischen Kriterien und gemaB der Zugehorigkeit ihrer At- 
tribute zu unteren Ebenen der hierarchischen Strukturen sowohl die relevantesten als auch die allgemeinsten 
sind; und 

- Verarbeitungsmittel, urn die synthetischen Alarmanzeigen an einer Ausgangseinheit (23) zu erzeugen, urn 
eine globale Sicht der Gesamtheit der von den Intrusion-Detection-Sonden (11a, 11b, 11c) stammenden Alar- 
manzeigen zu prasentieren. 

Informationssicherheitssystem (1), dass Intrusion-Detection-Sonden und ein Alarmanzeigen-Verwaltungssystem 
(13) nach Anspruch 8 aufweist. 



EP 1 695 485 B1 




16 



EP 1 695 485 B1 



DEFINITION DES 
PARAMETRES 



EO 



ITERATION SURLES 
INDICES D'ATTRIBUTS JLJ 
GENERALISABLES 
k€[l,n] 



E1 



-FORMER UN CONCEPT 
GENERALISE POUR 
CHAQUE ATTRIBUT 
GENERALISABLE 
-AJOUTERCE CONCEPT 
AU TREILLIS PROPRE 
- AJOUTER UN ARC 



E2 



FIG.2 



E3 



AJOUTER LES ARCS 
MANQUANTSPOURLES 
INDICES Sk 



I 



E4 



APPELRECURSIFPOUR 
DES NOUVEAUX 
PARAMETRES 




FIG.2A 



EP 1 695 485 B1 



DEFINITION DES PARAMETRES : - 

- CONCEPT g DU TREILLIS GENERAL 

- CONCEPT h DU TREILLIS PROPRE 



E10 



CHOISIR UN NOEUD ENFANT 
DU NOEUD h DE FACON ITERATIVE 



E11 



FIG.3 




AJOUTERLE NOEUD. 

ENFANT ET 
L'ENSEMBLE DE SES 
DESCENDANTS AU 
TREILLIS GENERAL 



E13 



SUPPRIMER TOUSLES 
ARCS PROVENANT DES 
NOEUDS PARENTS DE 
CE NOEUD ENFANT 



1 


r 


APPELR 


ECURSIF - 




18 



EP 1 695 485 B1 



DEFINITION DES PARAMETRES : - 
• CONCEPT c DU TREILLIS GENERAL 
ENSEMBLE P DES CONCEPTS PERTINENTS 
ENTER t 



E20 




APPLIQUER 
L'ORGANIGRAMME 
RECURSSIVEMENT SUR 

LES ENFANTSDEc 
SELON LES ATTRIBUTS 
D'lNDICES^t 



AJOUTER LE CONCEPT 

c A L'ENSEMBLE P 
■ ELI MINER L'ENSEMBLE 
DES CONCEPTS PLUS 
SPECIFIQUESQUEc 



si 




S2 




A7 













A123 



FIG.5 




N13-^- any 
N12^^. web-attack 

N ^ J \ 
FIG.6A 



N23 
N22 



any 



^ internal 
N21-, ' |N V 

192.168.0.1 .„:...„ 192.168.0.33 



FIQ.6B 



N33- 
N32 



any 
i 
i 
i 

t 



proxy 
N31 | 

^ 192.168.0.10 



FIG.6C 



19 



EP 1 695 485 B1 




20 



